---

Hej!
Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko ved
dette?
Og hvad skal man være opmærksom på?

Har blandt andet hørt at maskinen bliver meget åben overfor trojanske heste
mv.???
Er det korrekt?
Og hvad er der "farlgt" ved programmet?

Jeg søgte på Google -> grupper på emnet i denne NG. Så at der havde været
skrevet lidt om det tidligere... men de tråde jeg læste gav ikke rigtigt
svar åp noget.

På forhånd "undskyld" i tilfælde af, at der HAR været spurgt om det samme
for nyligt!


--
Mange hilsner fra
Carsten
cjtcjtcjt(fjern_det_hele_i_parantesen)@hotmail.com

---

Den Tue, 1 Feb 2005 12:58:30 +0100 skrev :
> Hej!
> Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko ved
> dette?

Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
at man giver den lov til det...

Jeg ville ikke stole på den slags.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
> at man giver den lov til det...

Siger det mest om Skype eller Firewallen?

--
Kasper Dupont

---

Den Tue, 01 Feb 2005 17:32:46 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
>> at man giver den lov til det...
>
> Siger det mest om Skype eller Firewallen?

Hvis nu jeg siger "de lyder præcis ligesom Gigasoft"...

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Tue, 01 Feb 2005 17:32:46 +0100 skrev Kasper Dupont:
> > Kent Friis wrote:
> >>
> >> Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
> >> at man giver den lov til det...
> >
> > Siger det mest om Skype eller Firewallen?
>
> Hvis nu jeg siger "de lyder præcis ligesom Gigasoft"...

Nu har jeg ikke hørt særlig meget til Skype. Men
Gigasoft er altså svære at hamle op med.

Hvis Skype hårdnakket påstår, at deres protokol
kan fungere gennem en vilkårlig firewall, så bør
man ikke tage dem seriøst.

Men hvis deres protokol indeholder diverse tweaks
til at undgå problemer med firewalls, så vil jeg
kalde det for features. Og som så mange andre kan
de enten bruges eller misbruges.

Men naturligvis vil en klar udmelding om, hvad
man gør, hvorfor, og hvad det kan bruges til, til
enhver tid være at foretrække frem for meningsløs
marketingsnak.

--
Kasper Dupont

---

Kasper Dupont wrote:
> Hvis Skype hårdnakket påstår, at deres protokol
> kan fungere gennem en vilkårlig firewall, så bør
> man ikke tage dem seriøst.

Kig lidt paa produktet foer du siger mere.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Den Tue, 01 Feb 2005 23:18:53 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Den Tue, 01 Feb 2005 17:32:46 +0100 skrev Kasper Dupont:
>> > Kent Friis wrote:
>> >>
>> >> Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
>> >> at man giver den lov til det...
>
> Men naturligvis vil en klar udmelding om, hvad
> man gør, hvorfor, og hvad det kan bruges til, til
> enhver tid være at foretrække frem for meningsløs
> marketingsnak.

Præcis. Og indtil jeg ser denne klare udmelding, stoler jeg ikke
på hverken folkene eller produktet.

Jeg er slet ikke i tvivl om at de mener noget helt andet, jeg kan
bare ikke tage deres markedsføring seriøst. Og så er jeg sådan set
ligeglad med om man kan finde beskrivelsen ved at clicke på 17 skumle
links, jeg opgiver produktet når jeg ser marketing-udgaven.

Iøvrigt har jeg også helt andre årsager til ikke at installere
produktet (bl.a. SIP), men nu var det sikkerheden der blev spurgt til.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2005-02-01, Kent Friis <nospam@nospam.invalid> wrote:
>> Siger det mest om Skype eller Firewallen?
>
> Hvis nu jeg siger "de lyder præcis ligesom Gigasoft"...

De er jo danske begge to. Skype-folkene har sikkert headhuntet Gigasofts
firewall-piercing folk, og nu har Bjarne for travlt med at kode Skype til
at skrive paa news.

--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

>> Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko
>> ved
>> dette?
>
> Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
> at man giver den lov til det...
>
> Jeg ville ikke stole på den slags.

Den kan bruge port 80? Hvad er så dit problem?

---

Som "dum bruger" uden indsihy i sikkerhed er jeg iukke blevet meget klogere?

> Den kan bruge port 80? Hvad er så dit problem?

---

> Som "dum bruger" uden indsihy i sikkerhed er jeg iukke blevet meget
> klogere?
>
>> Den kan bruge port 80? Hvad er så dit problem?

Det var min (lidt klodsede) forsøg på at fortælle dig, at den ikke "går
igennem" en FW. På samme måde som andre sagde at hvis den kunne det ville det
fortælle mere om firewallen end om Skype.

Brug det.

---

Den Wed, 2 Feb 2005 08:04:42 +0100 skrev Nicolai:
>> Som "dum bruger" uden indsihy i sikkerhed er jeg iukke blevet meget
>> klogere?
>>
>>> Den kan bruge port 80? Hvad er så dit problem?
>
> Det var min (lidt klodsede) forsøg på at fortælle dig, at den ikke "går
> igennem" en FW.

Nu har jeg tilfældigvis ikke et port 80-kabel uden om min firewall...

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Den Tue, 1 Feb 2005 18:15:48 +0100 skrev Nicolai:
>>> Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko
>>> ved
>>> dette?
>>
>> Tja, de reklamerer ligefrem med at den kan gå igennem firewalls uden
>> at man giver den lov til det...
>>
>> Jeg ville ikke stole på den slags.
>
> Den kan bruge port 80? Hvad er så dit problem?

Der er ikke noget specielt ved port 80. Det er stadig en port den
skal have lov til at gå igennem.

Og med alt det l*rt der efterhånden bruger port 80, burde man egentlig
slet ikke tillade trafik på den port - og når nu det absolut er
nødvendigt, så kun igennem en proxy der sikrer at det kun er
tilladt trafik der går igennem.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:
>Og med alt det l*rt der efterhånden bruger port 80, burde man egentlig
>slet ikke tillade trafik på den port - og når nu det absolut er
>nødvendigt, så kun igennem en proxy der sikrer at det kun er
>tilladt trafik der går igennem.

Hvordan klassificerer man "tilladt trafik" i den sammenhæng? Det
er jo nemt, når alverdens websider for at fungere kræver de mest
særprægede plugins, applets, småkager og filformater, man kan
forestille sig...

Mvh.
   Klaus.

---

> Der er ikke noget specielt ved port 80. Det er stadig en port den
> skal have lov til at gå igennem.
>
> Og med alt det l*rt der efterhånden bruger port 80, burde man egentlig
> slet ikke tillade trafik på den port - og når nu det absolut er
> nødvendigt, så kun igennem en proxy der sikrer at det kun er
> tilladt trafik der går igennem.

Alt det lort? Har du ikke styr på din port 80?

---

Nicolai <spam2005@nifo.dk> writes:
>> Og med alt det l*rt der efterhånden bruger port 80, burde man egentlig
[...]
>
>Alt det lort? Har du ikke styr på din port 80?

Porten er nem at holde styr på. Har man styr på de applikationer
(browser specielt) og tilhørende plugins, afledte teknologier og
slige særheder, der anvender den?

Mvh.
   Klaus.

---

Den Wed, 2 Feb 2005 08:05:10 +0100 skrev Nicolai:
>> Der er ikke noget specielt ved port 80. Det er stadig en port den
>> skal have lov til at gå igennem.
>>
>> Og med alt det l*rt der efterhånden bruger port 80, burde man egentlig
>> slet ikke tillade trafik på den port - og når nu det absolut er
>> nødvendigt, så kun igennem en proxy der sikrer at det kun er
>> tilladt trafik der går igennem.
>
> Alt det lort? Har du ikke styr på din port 80?

Jeg har ikke kontrol over hvad Microsoft, SOAP-folkene, diverse
P2P programmer og andre skumle foretagender sender over port 80.

Alt bliver efterhånden sendt over port 80, og det betyder at når
man åbner port 80, kunne man lige så godt åbne for alt, resultatet
er det samme.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:

> Jeg har ikke kontrol over hvad Microsoft, SOAP-folkene, diverse
> P2P programmer og andre skumle foretagender sender over port 80.

Det kræver det vel stadig en (skummel) listener i modtagerenden ikk'?

--
Med venlig hilsen
Stig Johansen

---

Den Wed, 02 Feb 2005 17:40:45 +0100 skrev Stig Johansen:
> Kent Friis wrote:
>
>> Jeg har ikke kontrol over hvad Microsoft, SOAP-folkene, diverse
>> P2P programmer og andre skumle foretagender sender over port 80.
>
> Det kræver det vel stadig en (skummel) listener i modtagerenden ikk'?

Jo, og derfor installerer jeg ikke programmer der giver indtryk af
at være skumle, herunder programmer der reklamerer med de går igennem
firewalls uden at få lov.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Wed, 02 Feb 2005 16:09:43 +0000, Kent Friis wrote:

>
> Jeg har ikke kontrol over hvad Microsoft, SOAP-folkene, diverse P2P
> programmer og andre skumle foretagender sender over port 80.
>
Nu lige hvad angår SOAP, er der 2 forhold, der gør det enkelt at holde
styr på det:
1) Tekstbaseret
2) I henhold til standarden skal der tilføjes headeren SOAPAction til
http-headeren, så en iptables regel der logger denne header, skulle give
et rimeligt præcist billede af trafikken.

Outgoing SOAP message:
POST /~mir/soap/authServer.php HTTP/1.0
User-Agent: PEAR-SOAP 0.8.0RC4-devel
Host: localhost
Content-Type: text/xml; charset=UTF-8
Content-Length: 828
SOAPAction: ""

I version 1.2, der er i final draft pt. har man endvidere strammet op, så
det nu er et krav, at Content-Type skal se ud på følgende måde:
Content-Type: text/soap+xml; charset=UTF-8

Det har det fordel, at du så kan adskille indgående og udgående
soap-trafik helt præcist. I henhold til SOAP 1.1 - og også i 1.2 pt - er
det kun requestet, der har sat SOAPAction.

Incoming SOAP message:
HTTP/1.1 200 OK
Date: Wed, 02 Feb 2005 17:04:09 GMT
Server: Apache/2.0.52 (Debian GNU/Linux) mod_python/3.1.3 Python/2.3.5c1
PHP/4.3.10-2 mod_perl/1.999.20 Perl/v5.8.4 X-Powered-By: PHP/4.3.10-2
Content-Length: 689
Connection: close
Content-Type: text/xml; charset=UTF-8

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Den Wed, 02 Feb 2005 18:08:55 +0100 skrev Michael Rasmussen:
> On Wed, 02 Feb 2005 16:09:43 +0000, Kent Friis wrote:
>
>>
>> Jeg har ikke kontrol over hvad Microsoft, SOAP-folkene, diverse P2P
>> programmer og andre skumle foretagender sender over port 80.
>>
> Nu lige hvad angår SOAP, er der 2 forhold, der gør det enkelt at holde
> styr på det:
> 1) Tekstbaseret

Lige indtil vi kommer ind i XML'en, der kan indeholde nærmest
hvadsomhelst, sågar en base64-enkodet PGP-krypteret selvudpakkende
og selvmodificerende virus.exe

> 2) I henhold til standarden skal der tilføjes headeren SOAPAction til
> http-headeren, så en iptables regel der logger denne header, skulle give
> et rimeligt præcist billede af trafikken.

Er der sket noget helt nyt i iptables siden sidst jeg checkede? Dengang
kunne iptables ikke klare den slags, det krævede en proxy - hvilket var
grunden til at jeg nævnte at man burde sende al port 80 trafik igennem
en proxy.

Men bortset fra det - en af de største fortalere for SOAP er Microsoft,
da det giver dem mulighed for at gøre det de allerhelst vil - at skide
højt og flot på sikkerheden. Så den dag folk rent faktisk begynder at
filtrere på de headere, så sikkerhedspolitikken rent faktisk
overholdes (web: ja, RPC: nej), kan man nok forvente at den header
forsvinder sporløst. De siger selv at formålet med at bruge SOAP er
at det bruger port 80 og dermed går igennem firewalls uden at få
lov.

> Outgoing SOAP message:
> POST /~mir/soap/authServer.php HTTP/1.0
> User-Agent: PEAR-SOAP 0.8.0RC4-devel
> Host: localhost
> Content-Type: text/xml; charset=UTF-8
> Content-Length: 828
> SOAPAction: ""
>
> I version 1.2, der er i final draft pt. har man endvidere strammet op, så
> det nu er et krav, at Content-Type skal se ud på følgende måde:
> Content-Type: text/soap+xml; charset=UTF-8

Den sidste halvdel mener du forhåbenlig ikke - hvis de kræver der skal
stå charset=UTF-8 uanset hvilket charset der bruges, kan man da ikke
bruge det til noget (lad være med at starte diskussionen igen om
hvorfor UTF-8 aldrig skulle være opfundet, den hører ikke til i denne
gruppe).

> Det har det fordel, at du så kan adskille indgående og udgående
> soap-trafik helt præcist. I henhold til SOAP 1.1 - og også i 1.2 pt - er
> det kun requestet, der har sat SOAPAction.
>
> Incoming SOAP message:
> HTTP/1.1 200 OK
> Date: Wed, 02 Feb 2005 17:04:09 GMT
> Server: Apache/2.0.52 (Debian GNU/Linux) mod_python/3.1.3 Python/2.3.5c1
> PHP/4.3.10-2 mod_perl/1.999.20 Perl/v5.8.4 X-Powered-By: PHP/4.3.10-2
> Content-Length: 689
> Connection: close
> Content-Type: text/xml; charset=UTF-8

Hvor ser jeg her at der er tale om SOAP-trafik?

Og hvordan defineres indgående og udgående i den sammenhæng? Headerne
bytter ikke plads undervejs, imellem pakken går ud gennem den ene
firewall, og ind gennem den anden. Ej heller mellem den bliver sendt
ud af den ene PC, og ind i den anden.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Wed, 02 Feb 2005 18:10:26 +0000, Kent Friis wrote:

>
> Lige indtil vi kommer ind i XML'en, der kan indeholde nærmest
> hvadsomhelst, sågar en base64-enkodet PGP-krypteret selvudpakkende og
> selvmodificerende virus.exe
>
Korrekt, men du ved dog, at det er en soap-besked, hvorfor der skal et
program til i den anden ende for at aktivere det.
>
> Er der sket noget helt nyt i iptables siden sidst jeg checkede? Dengang
> kunne iptables ikke klare den slags, det krævede en proxy - hvilket var
> grunden til at jeg nævnte at man burde sende al port 80 trafik igennem
> en proxy.
Jeg mener godt iptables i nyere versioner, kan læse http-headere.
>
> Men bortset fra det - en af de største fortalere for SOAP er Microsoft,
> da det giver dem mulighed for at gøre det de allerhelst vil - at skide
> højt og flot på sikkerheden. Så den dag folk rent faktisk begynder at
> filtrere på de headere, så sikkerhedspolitikken rent faktisk
> overholdes (web: ja, RPC: nej), kan man nok forvente at den header
> forsvinder sporløst. De siger selv at formålet med at bruge SOAP er at
> det bruger port 80 og dermed går igennem firewalls uden at få lov.
>
Det skal jeg ikke kunne gøre mig klog på, men Microsoft har dog ikke
kontrol over standarden.
>
> Den sidste halvdel mener du forhåbenlig ikke - hvis de kræver der skal
> stå charset=UTF-8 uanset hvilket charset der bruges, kan man da ikke
> bruge det til noget (lad være med at starte diskussionen igen om
> hvorfor UTF-8 aldrig skulle være opfundet, den hører ikke til i denne
> gruppe).
>
Det skal der, da de skemaer der definere SOAP, er skrevet med dette
tegnsæt. UTF-8 er et must i henhold til standarden.
>
> Hvor ser jeg her at der er tale om SOAP-trafik?
Det kan du heller ikke i SOAP 1.1, men det vil du kunne i SOAP 1.2.
Iptables kan dog holde styr på, om trafik tilbage har relation til en
igangværende forbindelse.
>
> Og hvordan defineres indgående og udgående i den sammenhæng? Headerne
> bytter ikke plads undervejs, imellem pakken går ud gennem den ene
> firewall, og ind gennem den anden. Ej heller mellem den bliver sendt ud
> af den ene PC, og ind i den anden.
>
Udgående er det, du sender ud, mens indgående er det du modtager. I den
sammenhæng er det ikke forskel på afsender og modtager.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Den Wed, 02 Feb 2005 19:46:16 +0100 skrev Michael Rasmussen:
> On Wed, 02 Feb 2005 18:10:26 +0000, Kent Friis wrote:
>
>>
>> Lige indtil vi kommer ind i XML'en, der kan indeholde nærmest
>> hvadsomhelst, sågar en base64-enkodet PGP-krypteret selvudpakkende og
>> selvmodificerende virus.exe
>>
> Korrekt, men du ved dog, at det er en soap-besked, hvorfor der skal et
> program til i den anden ende for at aktivere det.

Præcis som jeg ved at trafik på port 135 er en MS RPC, og der skal
et program (fx XP) til i den anden ende for at aktivere det.

Nu har folk i de sidste mange år lukket for alt hvad der lugter det
mindste af RPC, og så flytter man det sg* til port 80 i stedet for.

>> Er der sket noget helt nyt i iptables siden sidst jeg checkede? Dengang
>> kunne iptables ikke klare den slags, det krævede en proxy - hvilket var
>> grunden til at jeg nævnte at man burde sende al port 80 trafik igennem
>> en proxy.
> Jeg mener godt iptables i nyere versioner, kan læse http-headere.

Det overrasker mig meget, hvis det er tilfældet.

>> Men bortset fra det - en af de største fortalere for SOAP er Microsoft,
>> da det giver dem mulighed for at gøre det de allerhelst vil - at skide
>> højt og flot på sikkerheden. Så den dag folk rent faktisk begynder at
>> filtrere på de headere, så sikkerhedspolitikken rent faktisk
>> overholdes (web: ja, RPC: nej), kan man nok forvente at den header
>> forsvinder sporløst. De siger selv at formålet med at bruge SOAP er at
>> det bruger port 80 og dermed går igennem firewalls uden at få lov.
>>
> Det skal jeg ikke kunne gøre mig klog på, men Microsoft har dog ikke
> kontrol over standarden.

Det behøver de heller ikke for at ignorere den. Bare se W3C/HTML/IE.

>> Den sidste halvdel mener du forhåbenlig ikke - hvis de kræver der skal
>> stå charset=UTF-8 uanset hvilket charset der bruges, kan man da ikke
>> bruge det til noget (lad være med at starte diskussionen igen om
>> hvorfor UTF-8 aldrig skulle være opfundet, den hører ikke til i denne
>> gruppe).
>>
> Det skal der, da de skemaer der definere SOAP, er skrevet med dette
> tegnsæt. UTF-8 er et must i henhold til standarden.

De @£$#"% UTF-8-fanatikere sniger sig da også ind alle steder. Jeg
kan ikke tage en standard alvorligt der kræver den slags skrammel.

>> Hvor ser jeg her at der er tale om SOAP-trafik?
> Det kan du heller ikke i SOAP 1.1, men det vil du kunne i SOAP 1.2.
> Iptables kan dog holde styr på, om trafik tilbage har relation til en
> igangværende forbindelse.
>>
>> Og hvordan defineres indgående og udgående i den sammenhæng? Headerne
>> bytter ikke plads undervejs, imellem pakken går ud gennem den ene
>> firewall, og ind gennem den anden. Ej heller mellem den bliver sendt ud
>> af den ene PC, og ind i den anden.
>>
> Udgående er det, du sender ud, mens indgående er det du modtager. I den
> sammenhæng er det ikke forskel på afsender og modtager.

Sejt, hvor bytter de så headere, når PC1 sender en pakke ud med
"ud"-header, og PC2 modtager samme pakke med "ind"-headere?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 02 Feb 2005 19:31:29 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Nu har folk i de sidste mange år lukket for alt hvad der lugter det
>mindste af RPC, og så flytter man det sg* til port 80 i stedet for.

Er pointen ikke blot, at du ønsker dig tilbage til "én port, én
service"-tiden? Nåja, og du har set dig sur på fx UTF-8?

Jeg forventer, at du bliver endnu mere sur, bitter og frustreret i
fremtiden. Det må du jo så overveje, om du vil gøre noget ved.

--
- Peter Brodersen

---

Kent Friis wrote:

> Den Wed, 02 Feb 2005 19:46:16 +0100 skrev Michael Rasmussen:
>
>> Det skal der, da de skemaer der definere SOAP, er skrevet med dette
>> tegnsæt. UTF-8 er et must i henhold til standarden.
>
> De @£$#"% UTF-8-fanatikere sniger sig da også ind alle steder. Jeg
> kan ikke tage en standard alvorligt der kræver den slags skrammel.

Rolig nu. Standarden siger bare, at UTF-8 er /default/ ved application/xml i
modsætning til ISO 8859-1 ved HTTP.

--
Med venlig hilsen
Stig Johansen

---

Den Wed, 02 Feb 2005 23:35:22 +0100 skrev Stig Johansen:
> Kent Friis wrote:
>
>> Den Wed, 02 Feb 2005 19:46:16 +0100 skrev Michael Rasmussen:
>>
>>> Det skal der, da de skemaer der definere SOAP, er skrevet med dette
>>> tegnsæt. UTF-8 er et must i henhold til standarden.
>>
>> De @£$#"% UTF-8-fanatikere sniger sig da også ind alle steder. Jeg
>> kan ikke tage en standard alvorligt der kræver den slags skrammel.
>
> Rolig nu. Standarden siger bare, at UTF-8 er /default/ ved application/xml i
> modsætning til ISO 8859-1 ved HTTP.

Det var jo så lige det modsatte Michael skrev. Default betyder jo blot
at det gælder hvis der ikke står noget, ikke at der skal med djævelens
vold og magt stå UTF-8.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 02 Feb 2005 16:09:43 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Alt bliver efterhånden sendt over port 80, og det betyder at når
> man åbner port 80, kunne man lige så godt åbne for alt, resultatet
> er det samme.

Det afhænger da af, hvad det er man åbner for port 80 i. I noget
udstyr kan man lukke op for HTTP på port 80 uden samtidig at lukke op
for alt muligt p2p.

Ja, det kræver selvfølgelig noget Lag 5-intelligens[1], men det er der
jo også udstyr der har.

-A
[1] Ja, det er muligt ISO ville sige Lag 7, men der er altså ikke 7
lag i IP.
--
http://www.hojmark.org/

---

Den Wed, 02 Feb 2005 21:14:02 +0100 skrev Asbjorn Hojmark:
> On 02 Feb 2005 16:09:43 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Alt bliver efterhånden sendt over port 80, og det betyder at når
>> man åbner port 80, kunne man lige så godt åbne for alt, resultatet
>> er det samme.
>
> Det afhænger da af, hvad det er man åbner for port 80 i. I noget
> udstyr kan man lukke op for HTTP på port 80 uden samtidig at lukke op
> for alt muligt p2p.

Så kan man diskutere om man har åbnet for port 80, eller kun har
åbnet for http...

> Ja, det kræver selvfølgelig noget Lag 5-intelligens[1], men det er der
> jo også udstyr der har.

Ja, på en PC vil man normalt kalde det en proxy (som jeg har nævnt
flere gange).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 02 Feb 2005 20:34:20 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> Ja, det kræver selvfølgelig noget Lag 5-intelligens[1], men det er
>> der jo også udstyr der har.

> Ja, på en PC vil man normalt kalde det en proxy (som jeg har nævnt
> flere gange).

Det behøver ikke være en proxy. Det er muligt at inspicere trafik uden
at terminere én session og lave en ny (transparent eller ej), som en
proxy. Det kan fx gøres i en Cisco-router eller i en content switch.

-A
--
http://www.hojmark.org/

---

Den Wed, 02 Feb 2005 23:26:01 +0100 skrev Asbjorn Hojmark:
> On 02 Feb 2005 20:34:20 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Ja, det kræver selvfølgelig noget Lag 5-intelligens[1], men det er
>>> der jo også udstyr der har.
>
>> Ja, på en PC vil man normalt kalde det en proxy (som jeg har nævnt
>> flere gange).
>
> Det behøver ikke være en proxy. Det er muligt at inspicere trafik uden
> at terminere én session og lave en ny (transparent eller ej), som en
> proxy. Det kan fx gøres i en Cisco-router eller i en content switch.

Bemærk at jeg skrev "på en PC" - hvor tit kører du en Cisco-router
eller en content switch på en PC? Og nej, jeg mener ikke ovenpå

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 03 Feb 2005 21:16:39 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Bemærk at jeg skrev "på en PC" - hvor tit kører du en Cisco-router
> eller en content switch på en PC? Og nej, jeg mener ikke ovenpå

1) Du skrev, at hvis man åbner for port 80 kan man lige så godt åbne
for alt
2) Jeg skrev, at med det rette netværksudstyr behøver det ikke være
tilfældet.

Så er den sådan set ikke længere.

-A
--
http://www.hojmark.org/

---

Den Thu, 03 Feb 2005 23:19:23 +0100 skrev Asbjorn Hojmark:
> On 03 Feb 2005 21:16:39 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Bemærk at jeg skrev "på en PC" - hvor tit kører du en Cisco-router
>> eller en content switch på en PC? Og nej, jeg mener ikke ovenpå
>
> 1) Du skrev, at hvis man åbner for port 80 kan man lige så godt åbne
> for alt
> 2) Jeg skrev, at med det rette netværksudstyr behøver det ikke være
> tilfældet.

Du svarer på noget helt andet end du quoter...

Det der har jeg svaret på i et andet indlæg, men jeg kan da godt
gentage det... Hvis du kun åbner for http, har du så reelt åbnet
port 80? Det er vel et definitionsspørgsmål, den er ikke helt
lukket, men så sandelig heller ikke helt åben.

Resultatet er så til gengæld at den filtrering der førhen kunne klares
med portnumre nu kræver mere avanceret software, der kender http-
protokollen, og ved hvilke headers der indikerer at en pakke ikke
er normal web-trafik.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

wrote:
> Hej!
> Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko ved
> dette?
> Og hvad skal man være opmærksom på?

1. Ukendt implementering af krypto: Ingen ved om dine hemmelige samtaler
forbliver hemmelige.
2. Ukendt identitet: Ved du hvem du snakker med?
3. Ukendt implementering af messaging: Ingen ved om koden indholder fejl
der goer at fremmede kan overtage din maskine ved at sende dig specielt
konstruerede beskeder eller vente paa du aabner en profil.
4. Dum bruger modtager tilfaeldig fil via Skype og aktiverer den uden at
taenke sig om.

> Har blandt andet hørt at maskinen bliver meget åben overfor trojanske heste
> mv.???
> Er det korrekt?

Hvorfor tror du det? (Se 4.)

> Og hvad er der "farlgt" ved programmet?

Det har aabnet visse menneskers oejne for at voice kommunikation paa
nettet kan forgaa simpelt og i fin kvalitet. Det bryder visse
teleselskaber sig nok ikke om.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:41ffd0ac$0$183$edfadb0f@dtext02.news.tele.dk...
> wrote:
>> Hej!
>> Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko
>> ved
>> dette?
>> Og hvad skal man være opmærksom på?
>
> 1. Ukendt implementering af krypto: Ingen ved om dine hemmelige samtaler
> forbliver hemmelige.
> 2. Ukendt identitet: Ved du hvem du snakker med?
> 3. Ukendt implementering af messaging: Ingen ved om koden indholder fejl
> der goer at fremmede kan overtage din maskine ved at sende dig specielt
> konstruerede beskeder eller vente paa du aabner en profil.
> 4. Dum bruger modtager tilfaeldig fil via Skype og aktiverer den uden at
> taenke sig om.
>

Det var helt rart med et fornuftigt "nede på jorden" svar (har lige
gennemlæst de foregående indlæg).
Jeg har brugt Skype gennem det sidste år, og har ikke oplevet hverken
trojanere, virus eller andet utøj. Og hvis jeg ikke husker, at give min
firewall besked på, at det er ok trafik, kan programmet ikke få hul igennem.
I stedet for at have programmet åbent altid, bruger vi det til længere
samtaler. Dvs mine børn ringer op på mobilen, vi åbner skype og fortsætter
samtalen her. Det fungerer faktisk ganske fint.

---

"Gandalf" <me@privacy.net> wrote in message
news:42034457$0$173$edfadb0f@dtext02.news.tele.dk...
> "Alex Holst" <a@mongers.org> skrev i en meddelelse
> news:41ffd0ac$0$183$edfadb0f@dtext02.news.tele.dk...
> > wrote:
> >> Hej!
> >> Jeg overvejer at installere Skype... Er der nogen stor sikkerhedsrisiko
> >> ved
> >> dette?
> >> Og hvad skal man være opmærksom på?
> >
> > 1. Ukendt implementering af krypto: Ingen ved om dine hemmelige samtaler
> > forbliver hemmelige.
> > 2. Ukendt identitet: Ved du hvem du snakker med?
> > 3. Ukendt implementering af messaging: Ingen ved om koden indholder fejl
> > der goer at fremmede kan overtage din maskine ved at sende dig specielt
> > konstruerede beskeder eller vente paa du aabner en profil.
> > 4. Dum bruger modtager tilfaeldig fil via Skype og aktiverer den uden at
> > taenke sig om.
> >

1. Skype bruger 256-bit AES kryptering af samtaler. Det skulle være rigeligt
fint hvis det ellers er implementeret rigtigt.
3. Det er jo ikke et specifikt problem for Skype. Det samme kunne jo siges
om din browser, e-mail klient og lignende.
4. Ikke hvis dum bruger kun tillader samtaler og messaging med folk
vedkommende kender. Men igen....e-mails er lang værre da man her ikke kan
begrænse hvem man vil modtage fra. Man kan ikke lave en "positiv"
liste....kun en "negativ" liste.

/Kim

---

Kim Hellan <someone@nowhere.com> writes:
>1. Skype bruger 256-bit AES kryptering af samtaler. Det skulle være rigeligt
>fint hvis det ellers er implementeret rigtigt.

Så er spørgsmålet "bare", om "hvis" er godt nok. Der vil altid
være en vis usikkerhed, men med åbne protokoller vil man kunne
få et peer-review. Her må man "bare" stole på firmaet.

>3. Det er jo ikke et specifikt problem for Skype. Det samme kunne jo siges
>om din browser, e-mail klient og lignende.

Der er en væsentlig begrebsmæssig forskel. Browser og e-mail
gør ikke et stort nummer ud af at være sikre. Okay, websites
gør, når de modtager betaling, men i forhold til risikoen i
at handle, er de 128 bit rigeligt. (Som forbruger kan man
ikke rigtig komme til at tabe penge på nethandel, så det er
ikke for forbrugerens skyld, at man krypterer nethandel).

>4. Ikke hvis dum bruger kun tillader samtaler og messaging med folk
>vedkommende kender. Men igen....e-mails er lang værre da man her ikke kan
>begrænse hvem man vil modtage fra. Man kan ikke lave en "positiv"
>liste....kun en "negativ" liste.

Man kan ikke styre, hvem man modtager e-mail fra. Men man
kan sikre e-mail væsentligt bedre end samtaler via Skype,
hvis man gerne vil. Messaging er ikke en sikker form for
kommunikation under nogen omstændigheder.

Mvh.
   Klaus.